Você está visualizando atualmente Plugin WordPress Explorado para Roubar Dados de Cartão de Crédito de Sites de E-commerce

Plugin WordPress Explorado para Roubar Dados de Cartão de Crédito de Sites de E-commerce

Desconhecidos estão abusando de plugins de trechos de código menos conhecidos para o WordPress, a fim de inserir códigos PHP maliciosos em sites de vítimas capazes de colher dados de cartão de crédito.

A campanha, observada pela Sucuri em 11 de maio de 2024, envolve o abuso de um plugin do WordPress chamado Dessky Snippets, que permite aos usuários adicionar código PHP personalizado. Ele possui mais de 200 instalações ativas.

Esses ataques são conhecidos por explorar falhas previamente divulgadas em plugins do WordPress ou credenciais facilmente adivinháveis para obter acesso de administrador e instalar outros plugins (legítimos ou não) para pós-exploração.

A Sucuri afirmou que o plugin Dessky Snippets é usado para inserir um malware de skimming de cartão de crédito PHP do lado do servidor em sites comprometidos e roubar dados financeiros.

“Este código malicioso foi salvo na opção dnsp_settings na tabela de opções do wp_options do WordPress e foi projetado para modificar o processo de checkout no WooCommerce, manipulando o formulário de pagamento e injetando seu próprio código”, disse o pesquisador de segurança Ben Martin.

Especificamente, ele é projetado para adicionar vários novos campos ao formulário de pagamento que solicitam detalhes do cartão de crédito, incluindo nomes, endereços, números de cartão de crédito, datas de validade e números de Verificação de Valor do Cartão (CVV), que são então exfiltrados para o URL “hxxps://2of[.]cc/wp-content/”.

Um aspecto importante da campanha é que o formulário de pagamento associado à sobreposição falsa tem seu atributo de preenchimento automático desativado.

“Desabilitando manualmente esse recurso no formulário de pagamento falso, reduz a probabilidade de que o navegador avise o usuário de que informações sensíveis estão sendo inseridas, e garante que os campos permaneçam em branco até serem preenchidos manualmente pelo usuário, reduzindo a suspeita e fazendo com que os campos pareçam entradas regulares e necessárias para a transação”, disse Martin.

Esta não é a primeira vez que agentes de ameaças recorreram à utilização de plugins legítimos de trechos de código para fins maliciosos. No mês passado, a empresa revelou o abuso do plugin de trechos de código WPCode para injetar código JavaScript malicioso em sites do WordPress, a fim de redirecionar visitantes do site para domínios VexTrio.

Outra campanha de malware chamada Sign1 foi encontrada infectando mais de 39.000 sites do WordPress nos últimos seis meses, usando injeções maliciosas de JavaScript via plugin Simple Custom CSS e JS para redirecionar usuários para sites de golpes.

É recomendável que os proprietários de sites do WordPress, especialmente aqueles que oferecem funções de comércio eletrônico, mantenham seus sites e plugins atualizados, usem senhas fortes para evitar ataques de força bruta e realizem auditorias regulares nos sites em busca de sinais de malware ou quaisquer alterações não autorizadas.